关键信息 漏洞描述 CVE ID: CVE-2025-12135 受影响版本: WPBookit <= 1.0.6 漏洞类型: Unauthenticated Stored Cross-Site Scripting (XSS) 漏洞细节 原因: WPBookit 插件在 方法中不验证用户权限或清理自定义 CSS/JS 代码。 影响: 允许未授权的攻击者注入任意 JavaScript,在每个页面加载时执行,导致存储型 XSS 和潜在的会话劫持。 漏洞代码片段 执行代码片段 访问控制问题 路由配置 手动复现步骤 1. 确定目标: 安装了 WPBookit 插件的目标。 2. 注入恶意脚本: 3. 验证注入: 访问站点的任何页面,弹出框将执行。 4. 检查持久性: 恶意代码存储在数据库并每次页面加载时执行。